<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 28, 2015 at 2:03 PM, Doug Beattie <span dir="ltr"><<a href="mailto:doug.beattie@globalsign.com" target="_blank">doug.beattie@globalsign.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72">
<div>
<p class="MsoNormal"><span style="color:rgb(31,73,125)">With the certificate serial number entropy</span></p></div></div></blockquote><div><br></div><div>This is not a MUST requirement in the Baseline Requirements, unfortunately.</div><div><br></div><div>Section 7.1</div><div>"CAs SHOULD generate non-sequential Certificate serial numbers that exhibit at least 20 bits of entropy"</div><div><br></div><div>As such, it's not a terribly reliable scheme.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72"><div><p class="MsoNormal"><span style="color:rgb(31,73,125)"> and the fact we’re not issuing any SSL certificates after 12/31/2015
 we should be sufficiently protected against the recent improvements in breaking some aspects of SHA-1.  It’s another story if SHA-1 is suddenly broken and the date needs to be changed, but that hasn’t happened <yet>.</span></p></div></div></blockquote><div><br></div><div>The advancements merely show that the expected cost of a practical exploitation of SHA-1 is lower than expected, and builds on past research to show that SHA-1 is broken, as has long been known.</div><div><br></div><div>Put differently, we're entering the realm of "cybercrime syndicates can mount SHA-1 attacks", but we've been in the realm of "nation-states with advanced cryptography research teams and significant compute power" for some time.</div><div><br>Recall that the Flame attack exploited then-unknown attacks against MD5, even though they fit within the framework of the research at the time. That is, nationstates were already significantly more advanced than the state of research at the time. We should reasonably and logically conclude the same applies to SHA-1.</div><div><br></div><div>That is to say, it's reasonable to expect there may already be nation-state players who have exploited SHA-1, such that as long as it remains accepted, user populations remain at risk.</div></div></div></div>